“Het onderwijs moet terug naar winkelopeningstijden. Daarmee verklein je het aanvalsoppervlak voor hackers”

Eigenlijk was je 5 jaar te jong, maar toch werd je, amper 19, aangenomen als reisleider in de Verenigde Staten.

“Dat kwam door mijn talenkennis: Nederlands, Engels, Frans, Duits en Italiaans. Ik was er wel aan toe om de wijde wereld in te trekken, want voor een meisje met ADHD en autisme was het middelbaar onderwijs vreselijk. Ik ben 2 keer van school verwijderd.

Maar nog vóór je doctoraalexamen had je alweer een heel andere baan gevonden. 

“Dat was bij de Binnenlandse Veiligheidsdienst, de voorganger van de AIVD. Die had toen voor het eerst een personeelsadvertentie geplaatst. Ik heb daar van alles gedaan, onder meer het opzetten van een infrastructuur en een werkwijze om inlichtingen in te winnen via het internet. Voor de BVD was dat ‘uncharted territory’ en dat spreekt me altijd erg aan. 

Het was een totaal andere omgeving dan het reisleiden in de VS. Er werkten destijds maar zo’n 560 mensen bij de dienst. En vanwege de vertrouwelijkheid had ik weinig contact meer met de buitenwereld. Dus hockeyen doe je dan met collega’s. Na 10 jaar wilde ik wel weer iets anders, ook omdat ik inmiddels moeder was geworden. Ik mocht bij de ambassade in Parijs de veiligheidsbelangen van Nederland gaan behartigen, en dat heb ik met beide handen aangegrepen.”

Daar stuitte je op veel weerstand, geloof ik?

“Ja! Nederland werd gezien als narcostaat, omdat we belasting inden op cannabisverkoop. Daardoor vertrouwden de Franse politiemensen ons niet. Na een tijdje ontdekte ik dat de préfet van de Parijse politie de harde kern van de weerstand was. Ik ben die man gewoon gaan benaderen. Dat hield hij eerst af, maar na een jaar waren we allebei bij de afstudeerceremonie van de politieacademie. Wij zagen elkaar van een afstandje. Hij kwam naar me toe met een priemend vingertje en zei met zijn nasale stem: “Ah, madame le narco-État!”

We raakten in gesprek en daarna werd de relatie steeds beter. Ik organiseerde werkbezoeken in Nederland en uitwisselingen onder collega’s, en vervolgens konden we ook aan de slag met terrorisme, huiselijk geweld, zware overvallen en andere issues. Jaren later hebben de Fransen me nog geridderd.”

Je bent blijven werken in de veiligheid. 

“Na de plaatsing in Parijs volgden jaren in de top van de landelijke politiediensten. Daarna maakte ik de overstap naar het bedrijfsleven, bij Deloitte, waar ik in het cybersecurity-team kwam te werken. Maar het leukste vond ik wat daarna kwam: CEO bij Fox IT. Als autist voelde ik me daar helemaal thuis tussen de nerds. We begrepen elkaar instinctief.

Cybersecurity kan volgens mij niet zonder autisten. Want die spotten afwijkingen meteen en gooien de feiten op tafel, waar anderen dat niet durven door kuddegedrag. Naast deze functies zit ik ook in adviesraden bij allerlei organisaties waar veiligheid een rol speelt. Daardoor heb ik het onderwerp van alle mogelijke kanten leren kennen. En die ervaring zet ik nu in voor mijn werk als zelfstandig adviseur.”

Wat betekent veiligheid voor jou? 

“Ik heb mij als kind niet veilig gevoeld. Dat heeft me gemaakt tot een expert in onveiligheid. Ik ruik dat op afstand en dan kijk ik hoe ik veiligheid kan creëren. Daar ben ik goed in geworden en daar zal ik mijn hele leven mee bezig zijn.”

Wat zijn de grootste gevaren voor de SURF-gemeenschap?

“Ik zie er twee, en ze worden door AI enorm versneld. Ten eerste hacks. Anthropic heeft net Mythos uitgebracht. Daarmee kunnen zwakke plekken in systemen echt véél sneller worden gevonden en misbruikt. Dit soort technologie wordt nu volwassen en zal onvermijdelijk doorsijpelen naar de andere kant. 

Ik verwacht dan ook dat er binnen 6 à 9 maanden een enorme golf van cybercrime over ons heen gaat komen. Geautomatiseerd hacken wordt echt een levensgroot risico. Daar zijn we absoluut niet tegen bestand. Dat geldt met name voor organisaties met grote oude IT-systemen, dus voor het hele onderwijs.”

Wat kunnen we doen om het risico te verkleinen?

“Het eerste antwoord op geautomatiseerd hacken is geautomatiseerd patchen. Op het moment dat er een nieuwe update komt, moet die ogenblikkelijk worden geïnstalleerd. Daar mag geen 10 minuten tussen zitten.

Het tweede is strikte segmentatie. Als een hacker binnendringt bij een van je systemen, dan mag die niet verder kunnen komen. Er moeten dus zo veel mogelijk scheidingsmuurtjes worden opgetrokken.

En dit betekent ook dat je dingen uitzet die je niet gebruikt. Dat wordt nu heel belangrijk. We zijn allemaal gewend dat alles altijd bereikbaar is, maar daar moeten we echt vanaf. Het onderwijs moet terug naar winkelopeningstijden. Daarmee verklein je het aanvalsoppervlak voor hackers.”

Wat is het tweede gevaar?

“Dat is desinformatie. Door criminelen of door andere bad actors. Die kunnen uit Rusland komen, maar ook uit de VS. Zorg dat je studenten betrouwbare informatie kunt geven als je systemen platliggen. Al is het maar via een mededelingenbord in de hal van het collegegebouw.”

Bestaat cyberveiligheid eigenlijk wel?

“Veel mensen zien het als een technisch probleem, maar de kern is het omgaan met risico’s. Je moet je als mens bewust zijn van je existentiële kwetsbaarheid. Als je weet dat er een Chinees of een Amerikaan kan meekijken, dan moet je bewust kiezen om dat wel of niet te accepteren. Dat is geen kwestie van regels, want die zijn slechts een toets achteraf. Ik zie nog veel organisaties waar mensen eigenlijk niet zo goed weten waaróm het belangrijk is dat ze iets doen of laten. In feite beseffen ze niet waarom hun werk er überhaupt toe doet. Daar zou het gesprek veel meer over moeten gaan, want dan beginnen mensen zelf na te denken over veilig werken. En vermijden ze onnodige risico’s. Dat is de menselijke laag van cybersecurity.

Vervolgens heb je de organisatielaag. Zitten mensen op de juiste plek, zijn ze niet overwerkt, durven ze problemen te melden? En als laatste laag kunnen organisaties die veilig en gezond zijn ook de samenleving veilig gaan maken. SURF is daarvan het schoolvoorbeeld, omdat het een collectief is. De kracht van onze samenleving zit immers in sociale cohesie en samenwerking. Dat kunnen wij Nederlanders als geen ander. SURF heeft laten zien dat je als collectief schaal kan maken in veiligheidsoplossingen. En dan mag ik als vrouw zeggen: size matters! Want hoe wijder je het net van je security-monitoring uitgooit, hoe sneller je inzichten en gevaren kunt delen met de hele gemeenschap. SURF doet dat fantastisch, zeker ook door de Europese samenwerking. Zo zouden alle sectoren moeten werken.”